Контакты
Подписка
МЕНЮ
Контакты
Подписка

Организация и проведение служебных расследований

Организация и проведение служебных расследований

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Организация и проведение служебных расследований

Защита финансово-экономической стабильности компании от различного рода хакерских атак, как внешних, так и внутренних, является важной задачей для обеспечения стабильной работы любого бизнеса. Но если инцидент все же произошел, то необходимо правильно организовать и провести расследование внутри организации. О том, как это сделать, редакции журнала “Информационная безопасность/Information Security" рассказал начальник службы информационной безопасности ООО “НИИ ТНН" Петр Петрович Ляпин.
Петр Ляпин
Начальник службы информационной безопасности “НИИ Транснефть"

- Петр Петрович, расскажите, пожалуйста, какая на сегодня сложилась ситуация в России по киберпреступности?
- Достоверно ответить на этот вопрос практически невозможно. Официальную статистику всегда можно увидеть в отчетах МВД РФ "Состояние преступности в России", доступных на официальном сайте министерства*. Неофициальная, но порой более интересная информация представляется различными специализированными организациями. С учетом колоссальной латентности этого вида преступлений говорить о том, что официальные или неофициальные данные отражают реальное положение дел, по меньшей мере, неправильно. Это лишь малая часть окружающей нас действительности. Киберпреступность постоянно развивается, модифицируется вместе с изменением доступных и целевых технологий. Она всегда идет в ногу со временем.

- Системы, отвечающие за защиту и контроль информации, установленные в организациях, не могут дать 100% гарантии защиты от несанкционированных действий злоумышленников. Что же необходимо предпринять компаниям, если инцидент все же произошел?
- У каждого руководителя организации или ответственного лица должно быть четкое понимание, что необходимо делать в случае возникновения инцидента (что отключать, что проверять, куда сообщать и т.п.). При условии, конечно, что ставится цель предотвращать и пресекать такие инциденты. Причем речь не столько о четком плане и его безусловном соблюдении, а именно о понимании. А чтобы такое понимание отражало действительность, ответственному лицу необходимо знать, что должно защищаться, какими способами это осуществить и какие риски остаются. Иными словами, предварительная работа крайне необходима. А в случае возникновения инцидента – действовать согласно собственному плану (который может включать привлечение как сторонних экспертов, так и правоохранительных органов) либо максимально стабилизировать ситуацию и незамедлительно пригласить сторонних экспертов для определения необходимости и фиксации сведений (для будущей доказательной базы).

– Обозначьте, пожалуйста, основные этапы проведения служебного расследования киберпреступления.
– В первую очередь, необходимо помнить, что в соответствии с уголовным кодексом РФ преступлением признается виновно совершенное общественно опасное деяние. Служебные же расследования (правильнее – проверки), как правило, проводятся в рамках трудового и гражданского права. Если при проведении служебного расследования выявляются признаки преступления, (предусмотренного уголовным кодексом), то дальнейшим расследованием должы заниматься уполномоченные на то органы.

В большинстве случаев служебная проверка является первичной, поэтому крайне желательно заблаговременно обеспечить возможность сбора и фиксации информации в организации. Это могут быть как регистрационные журналы информационных систем, так и данные специализированных систем (например, класса DLP).

Порядок организации и проведения расследования преступлений детально регламентирован нормами УПК РФ. Что касается служебных проверок, то к их основным этапам следует отнести:

  1. первичную фиксацию факта нарушения (служебная/докладная записка);
  2. принятие решения о проведении служебной проверки (приказ);
  3. первичное установление участников нарушения и получение объяснений;
  4. сбор, фиксация дополнительных сведений (акты, протоколы);
  5. обобщение сведений, установление виновных, определение нанесенного ущерба (акт проверки);
  6. принятие решения о применении взыскания (приказ).

В случае нанесения ущерба могут быть подготовлены документы для взыскания последнего уже в судебном порядке.

– Основная сложность, с которой сталкивается пострадавшая сторона, – сбор доказательств и их предъявление в судебном процессе, так как они могут быть легко изменены. Какие действия нужно предпринять организации, чтобы все данные попали в суд в первоначальном виде?
– Для ответа на вопрос необходимо четко зафиксировать определенные положения. В первую очередь, доказательства – это сведения (ст. 74 УПК РФ). Для получения доказательств необходимы:

  1. надлежащий субъект (дознаватель, следователь, прокурор, суд);
  2. надлежащая процедура (ст. 75 УПК РФ);
  3. надлежащая форма (ст. 74 УПК РФ);
  4. получение определенных видов доказательств возможно только в результате соответствующих следственных действий, предусмотренных УПК РФ.

Если речь идет о гражданском процессе, то по общему правилу каждая сторона должна доказывать те обстоятельства, на которые она ссылается. То есть каждая сторона убеждает в своей правоте суд любыми незапрещенными способами.

Если говорить об уголовном процессе, то организация может лишь собирать и представлять документы и предметы для приобщения их к делу в качестве доказательств.

Так, в зависимости от поставленных целей организация вправе использовать любые законные методы. В частности, для фиксации доказательств могут быть проведены соответствующие следственные действия, получены заключения экспертов и т.п.

– Случалось ли вам проводить подобные расследования или принимать в них участие?
– Конечно. Расследования именно преступлений имели место в основном в организациях финансового сектора, ввиду "популярности" различных видов кибермошенничества. В остальном – это по большей части служебные проверки (не уголовного характера).

– Петр Петрович, можете ли привести пример из практики?
– Свежими примерами поделиться не представляется возможным ввиду действующих обязательств.

Для одной очень распространенной системы ДБО был написан троян, собирающий ключевую информацию со всех машин, на которые он попадал. Кроме того, он обладал возможностью обеспечивать удаленное управление машиной жертвы с тем, чтобы использовать подключенный к ней аппаратный ключ, ее адрес, операционную систему и прочие идентификационные данные. Таким образом, злоумышленники переводили денежные средства со счетов клиентов – юридических лиц на карточные счета подставных физических лиц, с которых в течение 20–40 мин снимали эти деньги одновременно в десятке-двух банкоматов в трех соседних республиках.

– На ваш взгляд, какие секторы экономики наиболее уязвимы для хакерских атак?
– Правильнее говорить не об уязвимостях секторов экономики, а об уязвимостях эксплуатируемых систем вкупе с наличием и объемом интереса к ним со стороны злоумышленников. Так, в финансовом секторе интерес обусловлен возможностью организации относительно простых, но массовых мошеннических действий с картами и счетами. В предприятиях реального сектора экономики ситуация иная, так как преследуются другие интересы и ставятся другие цели. Если подходить со стороны статистики, то, например, касаемо финансового сектора доступно достаточно информации по мошенничеству в системах ДБО (отчасти ввиду массового характера некоторых преступлений), чего нельзя сказать, например, про сектор ТЭК. Но это вовсе не говорит о том, что наиболее уязвимым является финансовый сектор. Уязвимости присутствуют во всех системах. Их реализация определяется наличием интереса. Ну и не стоит забывать, что киберпреступления имеют высокую латентность в силу как объективных, так и субъективных причин.

___________________________________________
*http://mvd.ru/Deljatelnost/statistics/reports/

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014

Приобрести этот номер или подписаться

Статьи про теме